Leitfaden IT-Compliance. Rechtsfragen Informationssicherheit und IT-Datenschutz

Transkript

1 Rechtsfragen Informationssicherheit und IT-Datenschutz

2 Inhalt I. Informationssicherheit Alles was Recht ist! 3 II. Was ist IT-Compliance? 4 III. Gefährdungsszenario - Bedrohungsanalyse 5 IV. Datenschutz und Mitarbeiterkontrolle 7 1. Die Novellierung des BDSG Überblick Arbeitnehmerdatenschutz und Kontrolle Informationspflicht bei Datenpannen Auftragsdatenverarbeitung 9 2. Private Nutzung, Fernmeldegeheimnis Datenschutzkonformes https-scanning Interessensausgleich durch rechtliche Gestaltung Mitbestimmung der Betriebs- und Personalräte 13 V. IT-Haftung Mit Sicherheit Recht behalten! Ermittlungsverfahren und Auskunftspflichten Vorratsdatenspeicherung Gastzugang Maßnahmenkatalog zur Vermeidung Organisationspflichten Störerhaftung im Netzwerk, offene W-LAN Szenario und Rechtsfolgen Eigenhaftung der IT-Verantwortlichen 18 VI. Mobile Security Szenario Technische Schutzmaßnahmen Nutzungsrichtlinien (Policy, Betriebsvereinbarung) 21 VII. Revisionssichere -Archivierung Handelsrechtliche Aufbewahrungspflichten Steuerrechtliche Aufbewahrungspflichten Aufbewahrungsfristen Sanktionen bei Verstößen Aufbewahrungsgrundsätze nach GoBS und AO Elektronische Betriebsprüfung nach GDPdU Elektronische Rechnungen Archivierung im Eigeninteresse 25 VIII. Risikomanagement und IT-Compliance KonTraG - Haftung der Geschäftsleitung Anerkannte Standards und Zertifizierung Euro-SOX und BilMoG 27 I. Informationssicherheit Alles was Recht ist! IT-Sicherheit ist als technisch dominierte Disziplin elementarer Bestandteil der Informationssicherheit, wobei letztere wesentlich umfassender aufgestellt ist. Informationssicherheit erfordert über die technische Sicherheit hinaus in starkem Umfange organisatorische Maßnahmen (z.b. Policies, Nutzungsrichtlinien, Schulung, Kontrollmaßnahmen, Zertifizierungen) und zwingend auch die Einhaltung und Gestaltung rechtlicher Rahmenbedingungen (z.b. durch Verträge oder Betriebsvereinbarungen). Informationssicherheit ist also eine ganzheitliche Aufgabe, deren technische, organisatorische und rechtliche Komponenten in enger Wechselbeziehung miteinander verzahnt sind. Überdacht wird das System von einem gesetzlich verbindlichen Risikomanagement, das die Leitungsebene des Unternehmens verantworten und umsetzen muss. Daraus ergibt sich eine ausgeprägte Ganzheitlichkeit der Informationssicherheit. Aufgabe des vorliegenden IT-Compliance-Leitfadens ist die zusammenfassende Darstellung der rechtlichen Komponente der Informationssicherheit RA Horst Speichert 2010 RA Horst Speichert 3

3 II. Was ist IT-Compliance? IT-Compliance ist nicht nur ein Marketing-Schlagwort, sondern erfordert konkrete Maßnahmen rechtlicher, organisatorischer und technischer Art. Der Begriff bedeutet allgemein gesprochen die IT-spezifische Rechtskonformität, also die Einhaltung rechtlicher Vorgaben im IT-Umfeld. Damit verbunden ist die Etablierung von Prozessen und Verfahren zur Erlangung dieser Rechtstreue. Konkret bedeuted IT-Compliance die Konformität mit gesetzlichen Standards Einhaltung der Gesetze, Beachtung der Rechtsprechung Vertragspflichten insbesondere aus Verträgen mit Kunden, Geschäftspartnern, Mitarbeitern etc. (selbstgesetzten) Standards Einhaltung anerkannter Standards wie BSI oder ISO, aber auch der eigenen Policies, Nutzungsrichtlinien, Organisationshandbücher, Arbeitsanweisungen etc. Aus der Blickrichtung der angestrebten Ziele definiert sich IT-Compliance als die wirksame Verhinderung von Informationsverlust Wirtschaftsspionage Unterschlagung, Betrug Falschbilanzierung Korruption Üblicherweise wird unter IT-Compliance die Einhaltung insbesondere der folgenden gesetzlichen Bestimmungen verstanden: KonTraG Deutscher Corporate Governance Kodex SOX COBIT, COSO Basel II konkretisiert durch MaRisk GoBS, GDPdU Vorgaben der Finanzbehörden für die steuerlich relevanten Daten BDSG, insbesondere Vorgaben für die technisch-organisatorische Datensicherheit, 9 BDSG plus Anlage Outsourcing, 11 BDSG Euro-SOX, BilMoG Wobei die Aufzählung bei weitem nicht abschließend ist, sondern nur wichtige Bestimmungen benennt. Die benannten Gesetze sind gleichzeitig auch zentrale Vorschriften aus dem Informations- und Risikomanagement. Der Deutsche Corporate Governance Kodex definiert in Nr : Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance) Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen gewährleisten, 2 Abs. 2 BSIG (BSI-Errichtungsgesetz). Im Reigen der IT-Compliance-Gesetze spielt das Bundesdatenschutzgesetz (BDSG) eine der Hauptrollen, insbesondere weil der Persönlichkeitsschutz in den letzten Jahren stark an Bedeutung gewonnen hat. Die Negativpresse in Folge von Datenschutzpannen hat in Ihrem Ausmaß eine Folgewirkung, die für ein Unternehmen existenzbedrohend, zumindest schadensträchtig sein kann. Das BDSG ist zum grundlegend novelliert worden, zum und treten weitere Änderungen in Kraft. Die Kernaussagen der komplexen Änderungen zeit- und praxisnah aufzuarbeiten, ist Aufgabe jedes IT-Verantwortlichen und Datenschutzbeauftragten. Wir tun dies vorliegend in einem eigenen Kapitel. Auch hier zeigt sich die enge Verzahnung von Technik, Organisation und Recht. III. Gefährdungsszenario - Bedrohungsanalyse In einer großen Aktiengesellschaft arbeitet seit langen Jahren ein qualifizierter Mitarbeiter an einer neuen Technologie zur Produktion von Sonnenkollektoren. Durch den Bau seines Eigenheims gerät der Mitarbeiter in finanzielle Schwierigkeiten, als ein Unbekannter an ihn herantritt und ihm größere Geldbeträge für die Herausgabe wichtiger Unterlagen bietet. Einer großen Tageszeitung wird eine DVD mit zehntausenden von sensiblen Kundendaten eines Finanzdienstleisters zugespielt. Die anschließende Berichterstattung in Presse und Neuen Medien zieht sich über Wochen hin. Der Vertrauensverlust in der Öffentlichkeit ist so groß, dass aufgrund von Umsatzeinbußen das Quartalsergebnis nach unten korrigiert werden muss. Um künftig gegen undichte Stellen besser geschützt zu sein, entschließt sich ein Unternehmen, alle und Internetverbindungen der Mitarbeiter heimlich zu überwachen. Nachdem die Angelegenheit durch investigativen Journalismus aufgedeckt wurde, muss der Vorstandsvorsitzende zurücktreten. Aus einem Medien-Bericht: Staatsanwaltschaft Köln ermittelt gegen ca P2P-Nutzer. Rund 130 Durchsuchungen wurden im Rahmen einer koordinierten Aktion heute zeitgleich im gesamten Bundesgebiet durchgeführt. Zahlreiche PC`s und andere Beweismittel wurden beschlagnahmt. Ein langjähriger Abteilungsleiter ahnt, dass er im Zuge der Wirtschaftskrise die betriebsbedingte Kündigung erhalten wird. Seine Verärgerung hierüber ist verständlicherweise groß. Als Abschiedsgeschenk möchte er deshalb seinem treulosen Arbeitgeber einen Trojaner hinterlassen, welcher die Server lahm legen soll. Der deutsche Mittelstand ist weltweit führend, zeichnet sich durch ein hohes Maß an Innovationskraft aus und ist deshalb der größte Know-how-Träger der deutschen Wirtschaft: Keine Kleinstadt ohne Weltmarktführer. Der enorme Leistungsdruck führt zur Vernachlässigung notwendiger Sicherheitsbedürfnisse, weshalb gerade der Mittelstand zu den leichten Zielen weltweiter Wirtschaftsspionage gehört. Schließlich verlangt das BSI-Errichtungsgesetz in seiner gesetzlichen Definition: IT-Sicherheit meint Sicherheitsvorkehrungen und die Einhaltung von Sicherheitsstandards, welche die RA Horst Speichert 2010 RA Horst Speichert 5

4 IV. Datenschutz und Mitarbeiterkontrolle Die Rechtslage im Datenschutz ist ständig im Fluss, wie drei aktuelle Novellierungen des BDSG im Jahr 2009 belegen. Illegale Vorgänge gebieten Kontrollmaßnahmen, während zugleich jeder Mausklick überwachbar wird und der gläserne Mitarbeiter droht. Fast täglich werden neue Datenschutzskandale in den Medien veröffentlicht, die große Imageschäden verursachen. Die vorausgeeilte Technik ist durch technisch-organisatorische Maßnahmen und rechtliche Regulierung wieder einzufangen. 1. Die Novellierung des BDSG Das Bundesdatenschutzgesetz wurde und wird durch drei Novellierungen zum , zum und zum grundlegend erneuert. 1.1 Überblick Neu im BDSG sind insbesondere Regelungen zu neuer Arbeitnehmerdatenschutz, Verhaltenskontrolle, 32 BDSG Informationspflicht bei Datenpannen/ unrechtmäßiger Kenntniserlangung nach 42a BDSG Neuregelung der Auftragsdatenverarbeitung nach 11 BDSG Stärkung der Stellung des Datenschutzbeauftragten nach 4f Abs. 3 Sätze 5 bis 8 BDSG: verstärkter Kündigungsschutz, nur fristlose Kündigung nach 626 BGB Anspruch auf Fort- und Weiterbildungsveranstaltungen ausdrücklich verankert Neuregelung zu Listenprivileg und Adresshandel, 28 BDSG Neufassung der Bußgelder nach 43 BDSG Erhöhung der Bußgeldtatbestände Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen Die Neuregelungen traten überwiegend am 1. September 2009 in Kraft, vorbehaltlich der Übergangsregelung in 47 BDSG. 1.2 Arbeitnehmerdatenschutz und Kontrolle Die Datenschutzskandale der jüngsten Vergangenheit werfen die Frage nach einer datenschutzkonformen Kontrolle von Mitarbeiten auf, insbesondere im Lichte des neuen 32 BDSG sowie bei erlaubter Privatnutzung von und Internet. Notwendige Datenbankabgleiche, Mitarbeiterscreening oder die Auswertung von Protokolldateien sind künftig nur unter geänderten Rahmenbedingungen möglich. Welche Kontrollmaßnahmen noch zulässig oder - z.b. aus Gründen der Korruptionsbekämpfung - sogar vorgeschrieben sind, bedarf der Klärung. Nach 32 Abs. 1 Satz 2 BDSG dürfen zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende, tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, und die Kontrollmaßnahme verhältnismäßig ist RA Horst Speichert 2010 RA Horst Speichert 7

5 Hieraus ergeben sich also insgesamt vier Voraussetzungen: konkreter Verdacht gegen einen bestimmten Mitarbeiter tatsächliche Anhaltspunkte, die den Verdacht begründen Dokumentationspflicht bezüglich dieser Anhaltspunkte Verhältnismäßigkeit der Kontrollmaßnahme Die IT- und Datenschutzverantwortlichen sind also gehalten, im Unternehmen einen Prozess zu etablieren, der die Prüfung eines konkreten Verdachts sowie der Verhältnismäßigkeit einschließt und die Dokumentation der konkreten Verdachtsmomente beinhaltet. Nach 32 Abs. 3 BDSG sind die Betriebsund Personalräte an diesen Prozedere zu beteiligen. Zu beachten ist dabei, dass die Regelung zur Verhaltenskontrolle nach 32 Abs. 1 Satz 2 BDSG nur die Aufdeckung von Straftaten betrifft. Damit bleibt die Vorgehensweise bei Verdacht auf eine bloße Arbeitspflichtverletzung unterhalb der Strafbarkeitsgrenze offen. Zu empfehlen ist aber eine einheitliche Vorgehensweise für Straftaten und Arbeitspflichtverletzungen. 1.3 Informationspflicht bei Datenpannen Völlig neu in das BDSG aufgenommen wurde in 42a BDSG eine Informationspflicht der datenverarbeitenden Stelle bei unrechtmäßiger Kenntniserlangung Dritter. Hier reagiert der Gesetzgeber auf die Vorfälle in jüngster Zeit und regelt Rechtsfolgen bei Datenpannen. Werden besonders sensible Daten, u.a. besondere Daten nach 3 Abs. 9 BDSG, unrechtmäßig übermittelt oder sind auf sonstige Weise Dritten zur Kenntnis gelangt, so hat das Unternehmen die zuständige Aufsichtsbehörde und die Betroffenen unverzüglich zu informieren. Die Mitteilung muss aufklären über die Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. 1.4 Auftragsdatenverarbeitung Neu geregelt wurde auch die Einschaltung von Dienstleistern, sofern es um die Verarbeitung personenbezogener Daten im Auftrag geht. Der Vertrag mit dem Dienstleister ist zwingend in Schriftform abzuschließen und muss nach dem Punktekatalog des 11 Abs. 2 BDSG insbesondere Regelungen enthalten zu Gegenstand und Dauer des Auftrags Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen technisch-organisatorische Maßnahmen nach 9 BDSG Berichtigung, Löschung und Sperrung von Daten Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers mitzuteilende Verstöße gegen Datenschutzvorschriften Umfang der Weisungsbefugnisse des Auftraggebers Rückgabe Datenträger und Löschung der Daten Betroffen sind nicht alle personenbezogenen, sondern nur besonders sensible Daten, hierzu gehören Daten nach 3 Abs. 9 BDSG, also insbesondere Daten über ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben Bank- oder Kreditkartendaten Berufsgeheimnisse Daten über strafbare Handlungen oder Ordnungswidrigkeiten Die Mitteilungspflicht besteht nur, wenn schwerwiegende Beeinträchtigungen für die Rechte oder Interessen der Betroffenen drohen. In der Folge muss die Mitteilung gegenüber der Aufsichtsbehörde und den Betroffenen unverzüglich, also ohne jede Verzögerung erfolgen. Ein Unternehmen tut also gut daran, bereits präventiv ein Prozedere für den Fall einer Datenpanne zu entwickeln, um bei eintretender Mitteilungspflicht schnell und richtig reagieren zu können. Andernfalls sind gravierende Imageschäden für die betroffenen Unternehmen zu befürchten. Verstöße und hierzu gehört auch eine zu späte Mitteilung sind mit hohen Bußgeldern belegt RA Horst Speichert 2010 RA Horst Speichert 9

6 Detailliert geregelt wurde auch eine Kontrollpflicht beim Dienstleister. Der Auftraggeber hat sich gemäß 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung (also vor Vertragsschluss) und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das bedeutet nicht zwingend eine Vorortkontrolle, sondern kann auch durch die Vorlage geeigneter Unterlagen des Dienstleisters umgesetzt werden. Das Ergebnis ist zu dokumentieren. Durch die Neuregelung beurteilt sich der Arbeitnehmerdatenschutz künftig nach 32 BDSG, der den bisher anwendbaren 28 Abs. 1 BDSG verdrängt. Werden Daten eines Beschäftigten für Zwecke des Arbeitsverhältnisses erhoben, verarbeitet oder genutzt, findet 28 Abs. 1 BDSG keine Anwendung mehr. Speziell eine Verhaltenskontrolle zur Aufdeckung von Straftaten des Beschäftigten ist nach 32 Abs. 1 Satz 2 BDSG nur noch zulässig, wenn Eine Übergangsregelung greift hier nicht, sondern die Neuregelung der Auftrags-DV gilt auch für Altverträge ab In der Konsequenz ist eine Anpassung der Altverträge erforderlich, da bei Verstößen ein Bußgeld von bis zu ,-- droht. 2. Private Nutzung, Fernmeldegeheimnis Für den Datenschutz stellt sich zunächst die Ausgangsfrage, ob der Arbeitgeber die private Nutzung erlaubt oder verboten hat. Bei erlaubter Privatnutzung wird der Arbeitgeber zum Telekommunikationsanbieter, da die Möglichkeit des Arbeitnehmers zur Privatnutzung von oder Internet als Dienstleistung einzustufen ist. Daraus resultiert die Geltung des Fernmeldegeheimnisses, da sich der tatsächliche Anhaltspunkte einen konkreten Verdacht gegen den Beschäftigten begründen und eine diesbezügliche Dokumentationspflicht erfüllt wurde. Für andere Zwecke können auch im Verhältnis Arbeitgeber zum Beschäftigten die übrigen Vorschriften des BDSG oder andere Gesetze weiterhin zur Anwendung kommen. Dazu gehören insbesondere die Regelungen über die Datenverarbeitung zur Wahrung berechtigter Interessen des Arbeitgebers nach 28 Abs. 1 Nr. 2 BDSG. Will also z.b. der Arbeitgeber s aus betrieblichen Interessen an einen Stellvertreter weiterleiten, weil der Postfachinhaber krank geworden ist und die Kontinuität der Kommunikation/ Kundenbetreuung gewahrt werden soll, so beurteilt sich dies nach 28 Abs. 1 Nr. 2 BDSG. Eine Einsicht oder Weiterleitung der dienstlichen s ist demnach nur zulässig, wenn aufgrund einer Güterabwägung nach dem Verhältnismäßigkeitsprinzip die Maßnahme erforderlich und angemessen ist. In diese Gesamtabwägung der relevanten Belange sind alle beteiligten Interessen mit einzubeziehen. Daraus ergibt sich die grobe Faustformel, dass äußere Verbindungsdaten wie URL, Empfänger- oder Absenderadresse grundsätzlich eingesehen werden dürfen, Inhaltskontrollen, wie das Mitlesen von s oder den Eintragungen des Arbeitnehmers auf den Webseiten, aber grundsätzlich unzulässig sind. 4. Datenschutzkonformes https-scanning Die gleichzeitige gesetzliche Forderung nach Verschlüsselung auf der einen und Virenschutz auf der anderen Seite, etwa in Anlage zu 9 BDSG, erzeugt einen technischen Widerspruch, da verschlüsselte Verbindungen nicht ohne weiteres auf Viren oder Schadsoftware untersucht werden können. Arbeitnehmer auf die Vertraulichkeit der privaten Kommunikation verlassen darf. Archivierungs- oder Kontrollmaßnahmen unter dem Regime des Fernmeldegeheimnisses sind aus Datenschutzgründen problematisch. 3. Dienstliche Nutzung, Privatnutzungsverbot Ist dagegen die Privatnutzung verboten und nur eine dienstliche Nutzung möglich, kommt das Fernmeldegeheimnis nicht zur Anwendung. Die dienstliche Nutzung steht jedoch unter dem Schutz des Bundesdatenschutzgesetzes (BDSG). Zwar sind hier weitergehende Datenerhebungen und Kontrollen als unter dem Fernmeldegeheimnis möglich, trotzdem besteht kein schrankenloser Freibrief zur Einsicht in Protokolldateien oder s. Immer mehr Missbrauch und Schadsoftware erfolgt über https und erzeugt so ein Sicherheitsvakuum. Das technisch unbestritten notwendige https-scanning muss datenschutzkonform betrieben werden. Dies erfordert zunächst die Vermeidung von möglichen Straftatbeständen 202a StGB, Ausspähen von Daten 206 StGB, Bruch des Fernmeldegeheimnisses Ordnungswidrigkeit nach 43 BDSG Insbesondere darf der Scanvorgang nicht zur Kenntnisnahme der Inhalte führen, muss also in einer Blackbox ablaufen RA Horst Speichert 2010 RA Horst Speichert 11

7 Zulässigkeitsvoraussetzungen: Anlass für das Scannen muss ein konkretes Gefährdungspotential sein, also in erster Linie der Virenschutz sowie die Abwehr vergleichbarer Schadsoftware die Notwendigkeit sonstige Filtermaßnahmen (z.b. das URL-Filterung) rechtfertigen das Scannen nicht die Maßnahme muss erforderlich sein zur Gefahrenabwehr, z.b. um das Eindringen von Viren oder Schadsoftware zu verhindern Möglichkeiten zu optionalen Ausnahmen, besonders sensible https-verbindungen, etwa das Online-Banking, vom Scanvorgang auszunehmen, sind zu nutzen die Entschlüsselung, der Scanvorgang, die Virenfilterung und das erneute Verschlüsseln müssen in einem geschlossenen System ablaufen Scanvorgang und Anti-Viren-Software arbeiten in einer Blackbox, führen also nicht zur Kenntnisnahme von Inhalten durch Administratoren oder sonstige Dritte Zusätzliche optionale Maßnahmen, welche die juristische Sicherheit erhöhen: deutliche Hinweise gegenüber dem Nutzer vor dem Scanvorgang Einwilligung des Nutzers schriftlich nach 4a BDSG in Nutzungs- oder Betriebsvereinbarung in elektronischer Form nach 13 TMG, 94 TKG 5. Interessensausgleich durch rechtliche Gestaltung Unabhängig davon, ob Fernmeldegeheimnis oder Bundesdatenschutzgesetz gelten, bedeuten ungeregelte Zustände hinsichtlich der Aufbewahrung und Kontrolle von Daten und Unterlagen ständige rechtliche Unsicherheit, da die Bestimmungen in TKG und BDSG unklar sind. Es herrscht große Verunsicherung bei Arbeitgebern, Administratoren und Arbeitnehmern, da die notwendige Güterabwägung der beteiligten Interessen im Einzelfall alle Betroffenen überfordert. Das Datenschutzrecht eröffnet jedoch nach dem Grundsatz präventives Verbot mit Erlaubnisvorbehalt einen Gestaltungsspielraum, um durch Vereinbarungen legale Handlungsgrundlagen zu schaffen. Nach dem Gesetzeswortlaut besteht zwar zunächst ein generelles Verbot, dass aber durch Vereinbarungen, die als Legitimation wirken, in Grenzen modifiziert werden kann. Solche Vereinbarungen bringen Vorteile für alle Beteiligten. 6. Mitbestimmung der Betriebs- und Personalräte Da die Datenschutzfragen dem Mitbestimmungsrecht im Sinne des Betriebsverfassungsgesetzes und des Personalvertretungsrechtes unterliegen, müssen Betriebs- und Personalräte am Entscheidungsprozess in Form von Vereinbarungen beteiligt werden. Das Mitbestimmungsrecht des Betriebsrates besteht gemäß 87 Abs. 1 Nr. 1 und 6 BetrVG für die Bereiche: Ordnung des Betriebes, Arbeitnehmer-Verhalten technische Kontrolleinrichtungen Für die Ausübung der Mitbestimmung kommen insbesondere der Abschluss von Betriebs- und Dienstvereinbarungen mit entsprechenden Nutzungs- und Kontrollregelungen für die - und Internet-Nutzung in Betracht. Bei der Betriebs-/ Dienstvereinbarung handelt es sich um einen schriftlichen Vertrag zwischen Arbeitgeber und Mitarbeitervertretung, der zur Lösung des Datenschutzproblems geschlossen wird. In Betrieben ab einer Größe von fünf Mitarbeitern sind Betriebsräte und damit Betriebsvereinbarungen möglich. Während der Arbeitgeber den Missbrauch einschränken will, befürchtet der Betriebsrat die Ausforschung der Arbeitnehmer. Personenbezogene Kontrollen sollten möglichst unter Beteiligung des Betriebsrates/ Datenschutzbeauftragten nach dem Vier-Augen-Prinzip erfolgen. Die Betriebs-/ Dienstvereinbarung hat rechtssetzenden Charakter und wirkt modifizierend auf die Inhalte der Arbeitsverträge ein. Im Bereich des Fernmeldegeheimnisses, das auf ein Grundrecht zurückgeht, ist neben Kollektivvereinbarungen die individuelle Zustimmung der beteiligten Arbeitnehmer von Vorteil. Ergänzend zu entsprechenden Betriebs- und Dienstvereinbarungen kann deshalb eine zusätzliche Legitimation und Information durch eine persönliche Zustimmung des betroffenen Arbeitnehmers erfolgen, sofern diese Einwilligung freiwillig erfolgt. Die durch Vereinbarungen geschaffenen klaren Verhältnisse schützen den Administrator vor Strafbarkeit wegen Verstößen gegen das Fernmeldegeheimnis. Sie schaffen Transparenz und Vertrauen bei den Arbeitnehmern, haben aber auch eine Warnfunktion und damit Lenkungswirkung für das Arbeitnehmerverhalten. Sie helfen dem Arbeitgeber bei der Haftungsprävention, da die Erfüllung der Organisationspflichten gesetzlich vorgeschrieben ist RA Horst Speichert 2010 RA Horst Speichert 13

8 V. IT-Haftung Mit Sicherheit Recht behalten! Die IT-Verantwortlichen in Unternehmen und Behörden fragen sich, inwieweit illegale Vorgänge und Inhalte zur Mitverantwortung des Arbeitgebers bzw. der Mitarbeiter und Geschäftsleitung führen. 1. Ermittlungsverfahren und Auskunftspflichten In den letzten Jahren wurden z.b. zehntausende von Strafverfahren wegen illegaler Downloads (Musikfiles) aus P2P- Netzwerken eingeleitet. Es stellt sich die Frage nach einer möglichen Mitverantwortlichkeit des Unternehmens der Geschäftsleitung der IT-Verantwortlichen 2. Vorratsdatenspeicherung Seit ist ein neues Gesetz zur Regelung der TK-Überwachung und anderer verdeckter Ermittlungsmaßnahmen und zur Umsetzung der EU-Richtlinie 2006/24/EG zur Vorratsdatenspeicherung in Kraft. Zweck ist eine effektive Strafverfolgung und Terrorismusbekämpfung. Betroffen ist die gesamte Telekommunikation: , Internet, Mobiltelefonie, SMS, Telefonie, VoIP Öffentlich zugängliche TK-Anbieter sind nach dem neuen 113a TKG verpflichtet, Verbindungs- und Standortdaten 6 Monate lang vorzuhalten. Gegen die Neuregelung bestehen verfassungsrechtliche Bedenken, die jedoch laut Bundesregierung und BVerfG nicht zur Aussetzung des Gesetzesvollzugs führen. Weitere Verfahren sind noch anhängig. für solch illegale und strafbare Inhalte und Vorgänge. Bei strafbarem Verhalten ( z.b. illegale Pornografie, raubkopierte Inhalte) erstatten die Geschädigten verstärkt Strafanzeige. Die Behörden versuchen daraufhin die zur Strafverfolgung notwendigen Daten zu ermitteln. Nach der Rechtsprechung werden Auskunftsansprüche gegen die TK-Anbieter (Provider) z.b. nach 113 TKG oder 101 Abs. 9 UrhG anerkannt. Demnach müssen öffentliche Provider die IP-Adresse herausgeben bzw. die Arbeitgeber anhand der IP-Adresse die persönliche Zuordnung zum konkreten Mitarbeiter vornehmen. Solche Ermittlungen der Behörden oder Rechtsträger bringen die IT-Verantwortlichen in den Unternehmen nicht selten in schwierige Situationen, insbesondere wenn die Identitätsverwaltung beim Arbeitgeber so unzureichend ist, dass die persönliche Zuordnung der IP-Adresse auch den Falschen treffen kann. Je sensibler der verfolgte Straftatbestand ist, desto empfindlicher wird ein zu Unrecht beschuldigter Mitarbeiter reagieren. Denn die persönliche Zuordnung der IP-Adresse und Herausgabe der Daten führt zu unmittelbaren Ermittlungsmaßnahmen gegen den Mitarbeiter. Entscheidende Frage ist, wer zur Vorratsdatenspeicherung gemäß 113a, 113b TKG verpflichtet ist. Nach 113a TKG sind nur öffentlich zugängliche TK-Dienste zur Vorratsdatenspeicherung verpflichtet, denn in der Begründung zum Gesetzentwurf steht: für den nicht-öffentlichen Bereich (z. B. unternehmensinterne Netze, Nebenstellenanlagen oder -Server von Universitäten) besteht keine Speicherungspflicht. Demnach sind geschlossene Benutzergruppen (z.b. Arbeitsplatz, Hotel, Krankenhaus etc.) von der Vorratsdatenspeicherpflicht ausgeschlossen. Nach der Literatur sind aber auch geschlossene Benutzer RA Horst Speichert 2010 RA Horst Speichert 15

9 gruppen mit Außenkontakt (break in break out) als öffentliche Telekommunikation anzusehen, so dass nur die interne Kommunikation ausgenommen wäre. Es besteht also ein erhebliches Maß an Rechtsunsicherheit. 2.1 Gastzugang Unternehmen sind zur Vorratsspeicherung verpflichtet, wenn sie einen öffentlichen Hotspot z.b. als W- LAN-Zugang anbieten. Es müssen also auch für den Gastzugang Passwörter vergeben und Richtlinien gestaltet werden, um die Vorratsdatenspeicherpflicht zu vermeiden. Schutzpflichten orientieren sich an den Verkehrssicherungspflichten. Die Verkehrssicherungspflichten ergeben sich aus einer Vielzahl gesetzlicher und vertraglicher Bestimmungen sowie der Rechtsprechung. Nachfolgend einige Beispiele. Die konkretisierenden Normen werden von der Rechtsprechung als Maßstab für die angemessenen Sicherungserwartungen herangezogen. Der Umfang der Verkehrssicherungspflichten bestimmt sich 2.2 Maßnahmenkatalog zur Vermeidung keine beliebige Neuakquisition von Kunden, sondern nur im Rahmen einer geschlossenen Benutzergruppe mit gemeinsamem Definitionsmerkmal z.b. nur konzernangehörige Unternehmen oder nur Eigenbetriebe und Eigengesellschaften im öffentlichen Bereich Ergänzung der Dienstleistungsverträge um Klauseln, welche die Zweckbindung betont, um den Charakter einer geschlossenen Benutzergruppe zu festigen.h Betrieb von Gast- und Besucherzugängen ebenfalls Wahrung des Charakters einer geschlossenen Benutzergruppe nur für authentifizierte und registrierte Nutzer, keine Nutzung für jedermann/ beliebige Passanten zusätzliche Beschränkung über zeitlich limitierte Kennungen, etwa durch die Ausgabe von Vouchern an der Empfangstheke o.ä. Wahrung der Gebäudegrenzen bei W-LAN Fortlaufende Beobachtung der einschlägigen Rechtsprechung und Stellungnahmen des Gesetzgebers, um frühzeitig zu erkennen, ob sich die Situation ändert. 3. Organisationspflichten Zum besseren Verständnis der Haftungssystematik ist die obergerichtliche Rechtsprechung des Bundesgerichtshofes (BGH) zu den Verkehrssicherungspflichten sowie die Vorgaben des KonTraG für ein verbindliches Risikomanagement zu betrachten. Der BGH spricht im Rahmen der Haftungssystematik von Verkehrssicherungspflichten: wer eine Gefahrenquelle eröffnet oder sich an ihr beteiligt, muss Dritte schützen und hierfür geeignete Schutzmaßnahmen ergreifen Die Kommunikationsvorgänge in Intranet und Internet eröffnen vielfältige Gefahren, sind also Gefahrenquellen im Sinne der Verkehrssicherungspflichten. Diese Verkehrssicherungspflichten bestehen im Wesentlichen aus: Organisationspflichten bezüglich betrieblicher (technischer) Abläufe Aufsichtspflichten des Arbeitgebers gegenüber seinen Mitarbeitern insbesondere nach den Sicherheitserwartungen der beteiligten Verkehrskreise der Marktüblichkeit der Sicherheits-Hardware und Software, z. B. hinsichtlich der notwendigen Update- Intervalle eines Virenscanners der Quantität der Datenverarbeitung der Gefährlichkeit des Tuns dem Prinzip der Verhältnismäßigkeit, also der Erforderlichkeit und Angemessenheit von Maßnahmen der wirtschaftlichen Zumutbarkeit, also der Größe und Leistungsfähigkeit eines Unternehmens Nach der Rechtsprechung ist im gewerblichen Bereich eine zuverlässige, zeitnahe und umfassende Sicherung der IT-Systeme erforderlich. Ansonsten können IT-spezifische Brandherde zur Mitverantwortlichkeit in Unternehmen und Behörden führen. Umgesetzt werden die Pflichten zur Haftungsprävention durch ein Bündel von Maßnahmen, bestehend aus Technik, Nutzungsrichtlinien und rechtlicher Gestaltung. Eine 100%ige Sicherheit kann im Rahmen der Verkehrssicherungspflichten nicht verlangt werden, aber Maßnahmen nach der Verkehrserwartung, die wirtschaftlich zumutbar sind. Auch die vertraglichen RA Horst Speichert 2010 RA Horst Speichert 17

10 4. Störerhaftung im Netzwerk, offene W-LAN Nach der Rechtsprechung sind Betreiber eines offenen W-LAN für urheberrechtswidrige, strafbare Down- bzw. Uploads aus P2P zumindest im Rahmen der Störerhaftung mitverantwortlich. Bei einem offenen W-LAN ohne Passwortschutz ist das System nicht gesichert. So können z.b. strafbare mp3-files missbräuchlich über das offene W-LAN durch externe Dritte heruntergeladen werden. Im Rechtssinne handelt es sich dabei um ein öffentliches Zugänglichmachen von Musikfiles über P2P. Dem Betreiber eines W-LAN obliegen umfangreiche Verkehrssicherungspflichten. Wer seine Internetverbindung drahtlos betreibt, muss für die Sicherung des Netzwerkes sorgen, andernfalls verstößt er gegen zumutbare Prüfungspflichten. Es gibt mittlerweile eine Vielzahl von Entscheidungen, welche die Störerhaftung für unsichere Netzwerke oder Plattformen bejahen. So wurde bereits mehrfach obergerichtlich entschieden, dass für Markenpiraterie auf Internetverkaufsplattformen das Auktionshaus mithaftet. es besteht eine Vorsorgepflicht gegen bekannte Missstände der Einsatz von präventiver Filtersoftware ist laut BGH zumutbare Prüfungspflicht bei eindeutigen Hinweisen (bedingter Vorsatz) besteht Schadensersatzpflicht Die dargestellte Rechtsprechung ist auf unsichere Netzwerke, Systeme oder Plattformen gleichermaßen anzuwenden. 5. Szenario und Rechtsfolgen Überträgt man die dargestellten Haftungssysteme auf die spezielle Situation in der IT, so ergibt sich das nachfolgende Haftungsszenario. 6. Eigenhaftung der IT-Verantwortlichen Die Vermeidung persönlicher Eigenhaftung ist für die handelnden Mitarbeiter, wie etwa IT-Leiter, Sicherheitsbeauftragte, Administratoren, sonstige IT-Verantwortliche, ein entscheidender Faktor. Hierbei ist zwischen der Schadensersatzansprüche des Arbeitgebers wegen Verletzung der arbeitsvertraglichen Nebenpflichten sind in der Praxis nicht häufig, aber möglich. Aufgrund der Fremdbestimmtheit der Arbeitsleistung trägt der Arbeitgeber das Unternehmensrisiko. Für Tätigkeiten mit erhöhtem Risiko gelten deshalb nach der Rechtsprechung des BAG die Grundsätze zur schadensgeneigten Tätigkeit: für vorsätzliches/ grobfahrlässiges Verhalten volle Haftung des Mitarbeiters mittlere Fahrlässigkeit Schadensteilung zwischen Arbeitgeber und Mitarbeiter leichte Fahrlässigkeit keine Haftung des Mitarbeiters Diese Haftungserleichterung für den Mitarbeiter gilt grundsätzlich nur im Verhältnis zum Arbeitgeber. Im Verhältnis zu geschädigten Dritten besteht ein Freistellungsanspruch des Arbeitnehmers gegen den Arbeitgeber. Für eine mögliche Strafbarkeit gilt dagegen der Grundsatz der vollständigen Eigenverantwortung. Ein Arbeitnehmer macht sich also selbst strafbar, die arbeitsvertragliche Haftungserleichterung ist nicht anwendbar. Auch gilt kein Befehlsnotstand, so dass ein Mitarbeiter, der z.b. auf Anweisung seines Vorgesetzten private s liest, nicht allein wegen der Anweisung straflos ist. Mögliche Strafbarkeit - Ordnungswidrigkeit: fahrlässige Verletzung: Ordnungswidrigkeit, bis Bußgeld, der wirtschaftliche Vorteil des Verstoßes soll durch das Bußgeld überstiegen werden Strafbarkeit nach 206 StGB bei Verstößen gegen das Fernmeldegeheimnis bei Übermitteln/ Abrufen gegen Entgelt oder Bereicherungs-/ Schädigungsabsicht liegt eine Straftat nach 44 BDSG vor Nicht von der Haftungserleichterung erfasst sind auch die arbeitsrechtlichen Sanktionen der Abmahnung oder Kündigung, welche bei Pflichtverstößen des Mitarbeiters stets eintreten können. zivilrechtlichen ( Schadensersatz), arbeitsrechtlichen ( Abmahnung, Kündigung) strafrechtlichen ( Geld- oder Freiheitsstrafe) Haftung zu unterscheiden. Aus dem Arbeitsverhältnis treffen grundsätzlich jeden Mitarbeiter sog. arbeitsvertragliche Nebenpflichten Schutz-, Mitwirkungs-, Geheimhaltungs- und Aufklärungspflichten als Sorgfaltsmaßstab gilt ein besonnener Mensch mit durchschnittlichen Fähigkeiten in der Situation des Arbeitnehmers also individuell unterschiedlich: höhere Sorgfaltsanforderungen an leitende Mitarbeiter Beweislast des Arbeitgebers, 619a BGB RA Horst Speichert 2010 RA Horst Speichert 19

11 VI. Mobile Security 1. Szenario Mobile Datenträger mit großer Kapazität, wie Laptop, USB-Sticks etc., gefährden durch Verlust oder Diebstahl die gespeicherten Daten. USB-Sticks sind zu mobilen Micro-Plattformen geworden, die das Booten, die Installation von Software, Schnittstellen ins Internet oder den Betrieb von Webplattformen ermöglichen. Spezielle Anwendungen für USB-Sticks (Browser, -Client, Webserver Apache) komplettieren die Gefährdungslage. Der Betrieb eines ebay-shops aus der Hosentasche ist keine Utopie, sondern machbar. Mit dem Auslesen von Daten oder Einschleusen von Schadsoftware vom oder auf den USB-Stick muss jederzeit gerechnet werden. Somit ist das Potential für die Umgehung von Sicherheitspolicies durch mobile Datenträger sehr groß. Ebenso gefährden unsichere Webportale oder alte Festplatten auf dem Müll, die nicht ordnungsgemäß entsorgt oder überschrieben wurden (DIN 32757), die gespeicherten Daten. Abhilfe versprechen vor allem ganzheitliche Maßnahmen, bestehend aus einer Kombination aus Technik und juristisch-organisatorischen Lösungen. 2. Technische Schutzmaßnahmen Schnittstellenkontrolle (device controle) Verschlüsselung der Daten (integrierte Fingerabdruck-Scanner für USB-Sticks) zu beachten ist, dass Schnittstellenkontrollen als eine besondere Art der Protokollierung dem Datenschutz und der Mitbestimmung unterliegen 3. Nutzungsrichtlinien (Policy, Betriebsvereinbarung) keine Nutzung privater Datenträger (USB-Sticks) im Unternehmen keine Installation und Nutzung privater Software von externen Datenträgern Dienstliche Datenträger mit sensitiven (personenbezogenen) Daten sind im Unternehmen wegzuschließen bei Transport zu verschlüsseln dürfen nicht an externe Rechner angeschlossen werden Anschluss Datenträger (USB-Stick) nur an vorgesehene Rechner (z.b. Vortrags-Laptop) separater Datenträger (USB-Stick) für Anschluss an externe Rechner verantwortlich für die Einhaltung der Regeln ist der Mitarbeiter, dem der Datenträger überlassen wurde die Regeln werden mit dem Datenträger (USB-Stick) ausgehändigt und gegebenenfalls abgezeichnet VII. Revisionssichere -Archivierung Die Umstellung auf elektronische Kommunikationsformen darf nicht darüber hinwegtäuschen, dass die umfangreichen gesetziichen Archivierungspflichten aus dem Handels- und Steuerrecht auch für die elektronische Buchung und den -Verkehr gelten. In Unternehmen und Behörden müssen deshalb auf breiter Front Daten und elektronische Dokumente aufbewahrt werden, um den gesetziichen Anfor RA Horst Speichert 2010 RA Horst Speichert 21

12 derunen zu genügen. Dabei verursachen Archivierungssysteme auch erhebliche Kosten. Die Orientierung an den gesetzlichen Aufbewahrungspflichten zeigt den gemeinsamen Nenner auf und trägt damit zur Kostenvermeidung bei. 1. Handelsrechtliche Aufbewahrungspflichten Jeder Kaufmann (GbR, GmbH, AG usw.) hat nach 257 Abs. 1 HGB die Pflicht zur geordneten Aufbewahrung von geschäftlichen Unterlagen Hierzu gehören Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Konzernabschlüsse, Konzernlageberichte, empfangene und versandte Handelsbriefe, Buchungsbelege sowie die erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen. Nicht umfasst sind lediglich Unterlagen aus reinen Privatgeschäften. Dabei ist der Begriff des Handelsgeschäft nach der Rechtsprechung des BGH weit definiert. Es genügt ein entfernter, lockerer Zusammenhang mit betrieblichen Interessen. Definition: Handelsbriefe sind alle Geschäftsunterlagen, die der Anbahnung, Durchführung oder Rückabwicklung von Handelsgeschäften dienen, z. B. Angebot, Annahme, Auftragsbestätigung, Mängelrüge, Arbeitsund Geschäftsverträge, Rechnungen, Kündigung usw. Definition: Buchungsbelege sind alle Unterlagen, die einzelne Geschäftsvorfälle dokumentieren und damit Grundlage der einzelnen Eintragung in die Geschäftsbücher und für die sonstigen Aufzeichnungen sind, 257 Abs. 1 Nr. 4 HGB Nicht nur postalische Briefe, sondern auch s, Faxe, Fernschreiben, Telegramme etc. können Handelsbriefe oder Buchungsbelege sein, wenn sie die genannten Definitionen erfüllen Zur Vereinfachung könnte auch die gesamte Geschäftskorrespondenz als aufbewahrungspflichtig eingestuft werden. 2. Steuerrechtliche Aufbewahrungspflichten Daneben gelten steuerliche Aufbewahrungspflichten bzgl. sämtlicher kaufmännische Unterlagen von oben und sonstiger Unterlagen, soweit sie für die Besteuerung bedeutsam sind, 147 Abs. 1 AO 3. Aufbewahrungsfristen Handels- oder Geschäftsbriefe, sowie alle sonstigen Unterlagen, soweit für die Besteuerung bedeutsam: 6 Jahre Aufbewahrungsfrist, 147 Abs. 3 AO Bücher, Jahresabschlüsse, Buchungsbelege: 10 Jahre Aufbewahrungsfrist, 147 Abs. 3 AO Rechnungen: 10 Jahre Aufbewahrungsfrist, 14b Abs. 1 UStG Fristenlauf: die Frist beginnt erst mit dem Schluss des Kalenderjahres, in dem die Eintragung gemacht, der Handelsbrief versandt wurde etc., läuft also in den meißten Fällen länger als 6 oder 10 Jahre Ablaufhemmung: die Frist läuft nicht ab, so lange die Unterlagen für die Besteuerung von Bedeutung sind, 147 Abs. 3 Satz 3 AO 4. Sanktionen bei Verstößen Die vorsätzliche Verletzung von gesetzlichen Aufbewahrungspflichten ist gemäß 283 Abs. 1 Nr. 6, 283 b Abs. 1 Nr. 2 StGB mit Geldstrafe oder Freiheitsstrafe bis zu 5 Jahren bedroht. Objektive Bedingung für die Strafbarkeit ist gemäß 283 Abs. 6, 283 b Abs. 3 StGB die infolge von Überschuldung erfolgte Zahlungseinstellung, Eröffnung des Insolvenzverfahrens oder Abweisung des Insolvenzantrages mangels Masse. Bei Verletzung der steuerlichen Archivierungspflichten liegt keine ordnungsgemäße Buchführung vor und es droht u.u. eine Schätzung der Besteuerungsgrundlagen nach 162 AO, die in den meisten Fällen zum Nachteil des steuerpflichtigen Unternehmens ausfallen wird. 5. Aufbewahrungsgrundsätze nach GoBS und AO Mit Ausnahme der Eröffnungsbilanzen und Jahresabschlüsse, die in Papierform vorliegen müssen, können die Geschäftsunterlagen auch als Wiedergabe auf einem Bild- oder anderem Datenträger generiert und aufbewahrt werden. Hierfür gelten neben der AO die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) des Bundesfinanzministeriums vom Eine bestimmte Technologie für die einzusetzenden Datenträger ist nicht vorgeschrieben, möglich sind: Bildträger (Mikrofilm, Fotokopie), COM maschinenlesbare Datenträger (Disketten, Magnetbänder, elektrooptische Speichermedien) Dokumenten-Managementsysteme digitale Datenträger (CD-Rom, DVD), 147 Abs. 2 AO Für die Archivierung der elektronischen Unterlagen ( s) gelten verschiedene Grundsätze, die einzuhalten sind: Vollständigkeit ( 146 I AO, 239 II HGB) Richtigkeit ( 146 I AO, 239 II HGB) Zeitgerechtheit ( 146 I AO, 239 II HGB) Unveränderbarkeit ( 146 IV AO, 239 III HGB) Ordnung ( 146 I AO, 239 II HGB) Nachvollziehbarkeit ( 145 I AO, 238 I Satz 2 HGB) 6. Elektronische Betriebsprüfung nach GDPdU Für den Behördenzugriff durch das Finanzamt (Betriebsprüfer) ist sicherzustellen: die jederzeitige Verfügbarkeit und Lesbarkeit, 147 Abs. 5 AO es besteht: Vorlagepflicht des Steuerpflichtigen auf Verlangen der Behörde Kostentragungspflicht des Steuerpflichtigen RA Horst Speichert 2010 RA Horst Speichert 23

13 Außenprüfung durch Behörde möglich, Einsichtnahme im System des Steuerpflichtigen: nur Lesezugriff, keine Fernabfrage (Online-Zugriff) es gelten: die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), am vom Bundesfinanzministerium erlassen Zugriffsmöglichkeiten nach der GDPdU bei elektronischer Betriebsprüfung: Beweislast im Prozess: bei Verletzung von Aufbewahrungspflichten nach 444 ZPO durch Beseitigung von Beweisunterlagen wird ohne Beweisverfahren der vom Gegner behauptete Vortrag als bewiesen angesehen Voraussetzung einer ordentlichen Geschäftsführung ist grundsätzlich die Erfüllung von Aufbewahrungs- und Archivierungspflichten - etwa die gesamte geschäftlich bedeutsame -Korrespondenz, Protokolle von Meetings, Entwürfe und Notizen aller Art etc. die im juristischen Streitfalle gebraucht werden könnten. Z1: Unmittelbarer Zugriff Inhouse-Prüfung unmittelbar im System des Steuerpflichtigen Z2: Mittelbarer Zugriff Das Unternehmen oder ein beauftragter Dritter werten die Daten nach Vorgaben des Prüfers aus. Z3: Datenträgerüberlassung Überlassung der Daten an den Prüfer auf einem geeigneten Medium Wichtig: Es besteht freie Wahlmöglichkeit des Betriebsprüfers zwischen den verschiedenen Zugriffsmöglichkeiten, die er auch kumulativ ausüben kann. Ein Zugriffsrecht der Finanzverwaltung besteht jedoch nur bezüglich steuerrechtlich relevanter Unterlagen. Es dürfen also auch nicht zu viele Daten und Unterlagen zur Verfügung gestellt werden. Für die notwendige Trennung der Daten und Unterlagen ist das steuerpflichtige Unternehmen verantwortlich. 7. Elektronische Rechnungen Der Vorsteuerabzug bei elektronischen Rechnungen ist nur mit einer qualifizierten digitalen Signatur nach 2 Abs. 1 Nr. 2 SigG möglich. Die übliche Geschäftspraxis bloße pdf-rechnungen zu versenden oder x-beliebige Signaturen zu verwenden ist nicht ausreichend. In solchen Fällen sollte der Rechnungsempfänger eine postalische oder faxalische Rechnung nachfordern. Auch ein IP-Fax ist nicht ausreichend für den Vorsteuerabzug, erforderlich ist vielmehr ein sogenanntes Standard-Faxgerät, also ein klassisches Faxgerät bei Absender und Empfänger. Die möglichen Folgen bei Nichtbeachtung dieser Maßgaben sind erheblich. Es können hohe Schäden eintreten, wenn die gezogene Vorsteuer vom Betriebsprüfer aberkannt wird und nachgezahlt werden muss. Überdies wird eine elektronische Rechnung, die den Vorsteuerabzug nicht ermöglicht, beim Kunden (=Rechnungsempfänger) zu großer Unzufriedenheit führen. 8. Archivierung im Eigeninteresse Neben Handels- und Steuerrecht existieren eine ganze Reihe weiterer Aufbewahrungspflichten. Nachfolgend seien nur einige beispielhaft aufgezählt: Aufbewahrungspflichten enthalten alle gesetzlichen Bestimmungen, die Ansprüche auf Auskunft und Rechnungslegung gewähren, so etwa 259, 666, 667 BGB VIII. Risikomanagement und IT-Compliance IT-Compliance, also die Einhaltung gesetzlicher Bestimmungen, vertraglicher Pflichten und anerkannter Standards, ist nicht nur ein Marketing-Schlagwort, sondern erfordert konkrete Maßnahmen. 1. KonTraG - Haftung der Geschäftsleitung Die Unternehmensleitung von Kapitalgesellschaften (z.b. AG, GmbH) hat für ein wirksames Risikomanagement-System zu sorgen. Im KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) schreibt der Gesetzgeber Sicherungsmaßnahmen vor, nach denen ein Überwachungssystem einzurichten ist, das bestandsgefährdende Entwicklungen frühzeitig erkennt. Dieses Frühwarnsystem erfordert u.a. eine präventive Überwachung und Erkennung von Fehlentwicklungen in der IT-Sicherheit. Auch das BSI verweist in seinen Standards ausdrücklich auf die Vorgaben des KonTraG. Das KonTrag ist ein Eingriff des Gesetzgebers in die Corporate Governance (=Führung und Überwachung) des Unternehmens. Zweck des KonTraG: Verpflichtung des Vorstands zu Risikomanagement Risikomanagement = Risiko-Klassifizierung und -Controlling Früherkennung von gefährlichen Schieflagen = Frühwarnsystem präventive Überwachung und Erkennung von Fehlentwicklungen, z.b. im Bereich Viren, illegale Inhalte, IT-Sicherheit es soll die Prüfung von Unternehmen erleichtern für Anleger und Wirtschaftsprüfer Der Vorstand hat nach 91 Abs. 2 AktG geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Nachteilige Folgen bei Verstößen: Persönliche Haftung des Vorstands mit dem eigenen Vermögen keine Entlastung des Vorstands: das LG München hat am entschieden, dass der Vorstand bei Verstößen gegen das Risikofrüherkennungssystem nicht entlastet werden darf Vorlegungspflichten im Prozess: bei Verletzung von Aufbewahrungspflichten droht Prozessverlust; bei Fristsetzung des Gerichts muss ein rechtzeitiger Zugriff auf die Archivdaten gewährleistet sein, ansonsten droht Präklusion bezüglich der Darlegungs- und Beweismöglichkeiten RA Horst Speichert 2010 RA Horst Speichert 25

14 2. Anerkannte Standards und Zertifizierung Effektivster Schutz vor persönlicher Haftung und Organisationsverschulden ist die Nachweisbarkeit der geprüften Sicherheit nach außen, etwa für Anforderungen von Dritten wie: Wirtschaftsprüfer (KonTraG) Kreditgeber (Basel II), denn IT-Sicherheit ist Rating-Faktor im Rahmen von Basel II Interne Revision Anerkannte Standards und Zertifizierungen wie ISO/IEC der erste internationale Standard zum IT-Sicherheitsmanagement, der auch eine Zertifizierung ermöglicht, aber keine Hilfe für die praktische Umsetzung BSI-Standards zur IT-Sicherheit, IT-Sicherheitsmanagement Managementsystem für Informationssicherheit (ISMS) IT-Grundschutz-Vorgehensweise Risikoanalyse auf der Basis von IT-Grundschutz Notfallmanagement ISO Zertifizierung auf der Basis von IT-Grunschutz machen die Schaffung von Informationssicherheit nachprüfbar und führen zu höherer Beweissicherheit und Haftungsentlastung. 3. Euro-SOX und BilMoG Als Reaktion auf Finanzskandale wie Parmalat oder Ahold hat die EU die Richtlinie 2006/43/EG vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen zur Anpassung der 8. EU-Prüferrichtlinie erlassen. Umgesetzt wurde die EU-Richtlinie durch das Bilanzrechtsmodernisierungsgesetz (BilMoG), das inzwischen in Kraft getreten ist. Wirtschaftsprüfer sollen verstärkt die Anforderungen an die Informationssicherheit in den Unternehmen prüfen, weil sie selbst strengeren Kontrollen der Aufsichtsbehörden unterliegen. Die Notwendigkeit eines Internen Kontrollsystems (IKS) wurde durch das BilMoG bestätigt. Über den Autor: Rechtsanwalt, Kanzlei esb Rechtsanwälte in Stuttgart, spezialisiert auf IT-Recht Lehrbeauftragter der Universität Stuttgart für Informationsrecht Seminarleiter Internetrecht, IT-Sicherheit, Datenschutz Ausbilder für Datenschutzbeauftragte, IT-Compliance-Audits, Vertragsgestaltung Fachbuchautor Praxis des IT-Rechts, Vieweg, 2. Auflage Internet: Haftungsausschluss: Check Point übernimmt keine Gewährleistung bzgl. dem Inhalt dieses Dokuments RA Horst Speichert 2010 RA Horst Speichert 27

15 RA Horst Speichert